Tecnología de administración activa Intel®: última actualización de la declaración de privacidad: septiembre de 2023
Intel Corporation se compromete a proteger su privacidad. En esta declaración se describen las funciones y capacidades de carácter privado que permite la Tecnología de administración activa Intel® (Intel® AMT), se informa sobre lo que permite que realicen los administradores de TI y lo que no; además, se indican los tipos de datos que Intel AMT almacena en el sistema del usuario. Esta declaración es adicional al Aviso de privacidad en línea de Intel y solo es válido para Intel AMT.
¿Qué es Intel AMT?
Intel AMT permite la asistencia y administración remotas fuera de banda (OOB) de sistemas informáticos en red dentro de la empresa por parte de administradores autorizados de TI.
¿Cuáles son los problemas potenciales de privacidad que plantea Intel AMT?
Las capacidades de administración remota han estado disponibles a través de proveedores de software, y en uso por los departamentos de TI de muchas organizaciones, por mucho tiempo.
Sin embargo, Intel AMT permite que los administradores de TI apoyen y administren de forma remota la computadora de un usuario, incluso si el usuario no está presente o si la computadora está apagada.
¿Cómo puede saber el usuario si Intel AMT está habilitado en el sistema?
Intel ha desarrollado un ícono de bandeja de sistema para ofrecer transparencia y notificaciones al usuario final sobre el estado actual de Intel AMT. Actualmente, el software estándar de Intel AMT incluye la aplicación Intel® Management and Security Status (IMSS) y el ícono de bandeja de sistema que se instala junto con los controladores y servicios. Mediante el ícono de bandeja de sistema de IMSS, se muestra el estado actual de Intel AMT en el sistema (activado o desactivado) y también proporciona instrucciones sobre cómo habilitar/deshabilitar las capacidades de Intel AMT. Intel recomienda que cada OEM (Original Equipment Manufacturer, Fabricante de Equipos Originales) realice la carga de la aplicación IMSS. Sin embargo, los OEM podrían optar por no seguir esta recomendación de Intel; asimismo, los administradores de TI para usuarios finales podrían elegir eliminar la aplicación IMSS antes de proporcionar los sistemas con la tecnología AMT a los usuarios finales. Según la implementación que realizó el OEM, los usuarios también pueden comprobar el estado de Intel AMT en el BIOS del sistema de la computadora. No obstante, es importante señalar que es posible que algunos departamentos de TI de determinadas empresas no otorguen a los usuarios acceso al BIOS del sistema, lo que es necesario para poder habilitar/deshabilitar Intel AMT o consultar su estado.
¿Qué información personal recopila Intel AMT del usuario?
Intel AMT no recopila ningún tipo de información personal del usuario (por ejemplo, nombre, dirección, número de teléfono, etc.).
¿Qué tipo de información envía Intel AMT a Intel Corporation y cómo se usa esa información?
Intel AMT no envía ningún tipo de información a Intel Corporation.
¿Qué tipo de información almacena Intel AMT?
Intel AMT almacena información en la memoria flash de la placa base del sistema. En esta información se incluye el código del firmware, los datos del inventario de hardware (por ejemplo, el tamaño de la memoria, el tipo de CPU y el tipo de disco duro), un registro de eventos en el que se registran los eventos de la plataforma (por ejemplo, el calentamiento de la CPU, las fallas del ventilador y el mensaje POST del BIOS), los eventos de seguridad de Intel AMT (por ejemplo, una advertencia de ataque a la contraseña de Intel AMT o la activación del filtro System Defense) y los datos de configuración de Intel AMT (por ejemplo, la configuración de la red, las listas de control de acceso y los identificadores únicos universales (UUID), incluidos los datos de aprovisionamiento, la dirección MAC de la LAN, las claves, las contraseñas de dispositivos KVM (teclado, video y mouse), los certificados de la Seguridad de la capa de transporte (TLS) y los perfiles de la red inalámbrica configurada de TI). Todos los datos de configuración de carácter confidencial se almacenan en un formulario de cifrado en la memoria flash. En la siguiente sección podrá obtener más información acerca de los UUID.
Intel AMT 11.0 y sus versiones anteriores permiten que las aplicaciones registradas de ISV (Independent Software Vendor, Proveedores Independientes de Software) almacenen datos en un área del repositorio de la memoria flash conocido como almacén de datos de terceros (3PDS). A partir de la versión 11.6 de Intel AMT, esta característica se reemplazó con el alojamiento de aplicaciones web que permite que Intel AMT aloje aplicaciones web en la memoria no volátil (NVM) que Intel AMT administra de manera local en la plataforma cliente.
Aunque Intel informa a sus ISV lo que considera que son las mejores prácticas de privacidad para la administración responsable de datos, Intel no determina en última instancia qué datos pueden ser almacenados en esta área de la memoria flash y no admite métodos de cifrado para datos de ISV. Por lo tanto, se solicita a los ISV que cifren sus datos antes de almacenarlos en la memoria flash si consideran que sus datos son confidenciales. Si le preocupan los riesgos de privacidad que puedan generarse por el almacenamiento de datos en esta ubicación, comuníquese con el desarrollador de software correspondiente para obtener más información sobre el tipo de información y aplicaciones web que se almacenan en la NMV y de qué forma se protegen.
¿De qué forma Intel AMT utiliza los UUID? ¿Qué funcionalidad permiten y no permiten los UUID en las plataformas con Intel AMT?
Los identificadores únicos universales (UUID) son artefactos utilizados por Intel AMT para varios fines, los que incluyen el proceso de aprovisionamiento, la seguridad del sistema (por ejemplo, contraseñas, claves y certificados TLS), y para garantizar que los administradores de TI puedan conectarse y administrar con precisión un determinado sistema de usuario al interior de una empresa.
Las plataformas Intel VPRO se envían con un UUID persistente llamado Intel Unique Platform ID (UPID) para permitir casos de uso que requieren un UUID persistente, como el aprovisionamiento sin contacto. La funcionalidad del UPID depende de la implementación del OEM. Los UUID están presentes en prácticamente todas las computadoras modernas y generalmente los OEM se instalan en todas las plataformas, sin que ello tenga relación con Intel AMT. De hecho, actualmente, en las aplicaciones de muchas computadoras se utilizan los UUID para aislar la información exclusiva del sistema con el fin de ofrecer las funciones esperadas, como las actualizaciones del sistema operativo o del sistema de control de virus. Intel AMT utiliza los UUID de la plataforma de manera muy similar: la principal diferencia es que, para permitir que Intel AMT acceda al UUID OOB, se copia el UUID en el repositorio de la memoria flash.
Es importante tener en cuenta que Intel no puede utilizar los UUIDs de los sistemas con tecnología Intel AMT, lo que incluye UPID, para realizar un seguimiento de los usuarios o de sus PCs, ni permiten a Intel acceder a los sistemas de los usuarios de forma ilegítima en la plataforma, así como tampoco permiten a Intel forzar el firmware en la plataforma sin el consentimiento del usuario. Solo los administradores autorizados de TI pueden acceder a un UUID almacenado en la memoria flash por Intel AMT para una plataforma determinada con Intel AMT. El cliente final de TI configura la lista de los administradores autorizados de TI durante un proceso protegido mediante certificados de empresa o su presencia física en el sistema Intel AMT (a través del menú del BIOS o una llave USB) para establecer la confianza. Por ende, lo anterior sucede en su totalidad con consolas que residen en los servidores de confianza designados como tal por el cliente final de TI. En otras palabras, no se pueden comunicar ni los UUID ni ninguna otra información hacia o desde cualquier parte externa al cliente final por medio de Intel AMT, a menos que el cliente final configure esto de forma expresa. Para identificar a los administradores autorizados para un sistema determinado, consulte la documentación del Kit de desarrollador de software (SDK) de Intel AMT disponible en https://software.intel.com/en-us/business-client/manageability, que proporciona una API para recuperar las ACLs o las cuentas autorizadas de Kerberos.
¿Qué tipo de información envía la tecnología de administración activa Intel® (Intel® AMT) a través de la red?
Intel AMT envía y recibe datos a través de puertos predefinidos de red IANA: el puerto 16992 para SOAP/HTTP, el puerto 16993 para SOAP/HTTP, el puerto 16994 para redirección/TCP y el puerto 16995 para redirección/TLS. Los sistemas compatibles con DASH pueden enviar y recibir datos a través de los puertos 623 para HTTP y 664 para HTTPS. La sesión de teclado, video y mouse (KVM) se puede ejecutar a través de los puertos de redirección anteriores (16994 o 16995) o a través del puerto tradicional RFB (servidor VNC) 5900. El tipo de información enviada a través de la red incluye mensajes de comando y respuesta de Intel AMT, tráfico de redirección y alertas del sistema. Los datos transmitidos a través de los puertos 16993 y 16995 están protegidos con la seguridad de la capa de transporte (TLS) si esa opción está habilitada en el sistema del usuario.
Intel AMT podrá enviar datos a través de una red IPV4 o IPV6 y es compatible con las extensiones de privacidad RFC 3041.
¿Qué información identificable expone la Tecnología de administración activa Intel® (Intel® AMT) en la red?
Cuando Intel® AMT está habilitada, los puertos abiertos presentan información que se puede utilizar para que terceros en la red identifiquen el equipo. Esto incluye el certificado HTTPS, los atributos digest y realm de HTTP, la versión de Intel AMT y otra información que se puede utilizar para el reconocimiento de las huellas de la computadora. Esta información se proporciona como parte de las operaciones habituales de los protocolos que admite Intel® AMT. Ningún firewall del sistema operativo bloqueará el acceso a puertos de Intel® AMT; no obstante, los administradores pueden utilizar la detección de entorno y la llamada rápida de ayuda (CIRA) para cerrar los puertos locales Intel® AMT y limitar el acceso a esta información.
¿Qué acciones permite Intel AMT que realice un administrador de TI autenticado?
- Encender, apagar y reiniciar de forma remota el sistema para la solución de problemas y la reparación.
- Solucionar problemas del sistema de forma remota incluso cuando el sistema operativo host está apagado o dañado.
- Revisar y cambiar de forma remota la configuración del BIOS en el sistema. La tecnología Intel AMT tiene una opción para permitir que un administrador de TI omita la contraseña del BIOS, aunque no todos los OEM implementan esta característica.
- Configurar los filtros de tráfico de red para proteger el sistema.
- Supervisar las aplicaciones registradas que se están ejecutando en el sistema (por ejemplo, si se está ejecutando un software antivirus).
- Recibir alertas generadas por los eventos de creación de informes del firmware de Intel AMT en el sistema del usuario que puedan necesitar asistencia técnica, tales como: calentamiento de la CPU, falla del ventilador o activación del filtro de defensa del sistema. Más ejemplos disponibles públicamente en www.intel.com/software/manageability.
- Solucionar problemas del sistema del usuario de forma remota a través de la redirección del proceso de inicio a un disquete, un CD-ROM o una imagen situada en el sistema del administrador de TI.
- Solucionar problemas del sistema de forma remota a través de la redirección de la entrada de teclado y la salida de video en modo de texto en los sistemas del usuario hacia el sistema del administrador de TI.
- Solucionar problemas del sistema de forma remota a través de la redirección del teclado, el video y el mouse hacia y desde el sistema del usuario y el sistema del administrador de TI (redirección KVM).
- Configurar en qué entornos de red será accesible la funcionalidad de administración de Intel AMT (por ejemplo, mediante la definición de dominios de confianza).
- Usar una aplicación registrada de ISV para escribir/eliminar datos en el repositorio de flash (es decir, el área 3PDS)
- Alojar aplicaciones web en la memoria no volátil (NVM) que Intel AMT administra de manera local en la plataforma cliente (Intel AMT 11.6 y versiones posteriores).
- Identificar el sistema del usuario en la red de la empresa a través de un UUID.
- Deshabilitar Intel AMT y eliminar contenidos flash.
- Conectarse a los sistemas de forma remota, incluso fuera de la red de la empresa mediante los perfiles preconfigurados de Client-Initiated-Remote-Access (CIRA).
¿Intel AMT permite que un administrador de TI autenticado pueda acceder a un disco duro local del usuario?
Durante una sesión de administración remota, el administrador de TI tiene acceso a los discos duros locales del usuario. Esto significa que el administrador de TI puede leer/escribir archivos desde el disco duro del usuario, por ejemplo, para reparar el sistema del usuario mediante la recuperación o reinstalación de una aplicación o un sistema operativo defectuosos. Intel AMT admite dos funciones que ayudan a mitigar los riesgos potenciales de privacidad que surgen cuando los administradores de TI pueden acceder a este tipo de información: IMSS y registro de auditoría. Las capacidades de registro de auditoría brindan un grado de responsabilidad al administrador mediante el registro de los casos en que el administrador de TI accede a los sistemas del usuario a través de Intel AMT. Sin embargo, cuáles eventos se registran realmente es algo que define el auditor, quien en la empresa normalmente no es el usuario. Aunque Intel informa a sus clientes que en el acceso remoto al sistema Intel AMT se encuentra el tipo de información que debe estar registrada, es posible que esta información no esté disponible para los usuarios en algunos entornos empresariales. La información acerca de cómo IMSS puede proporcionar a los usuarios notificaciones de casos donde los administradores de TI han accedido a su sistema aparece inmediatamente a continuación.
¿La redirección KVM de Intel AMT permite que un administrador de TI autenticado pueda tomar el control de forma remota de la computadora de un usuario como si estuviera físicamente sentado frente a su teclado?
Durante una sesión de administración remota con redirección KVM, el administrador de TI tiene el control de la computadora del usuario como si estuviera sentado frente a su teclado. Con respecto a la sesión de redireccionamiento de KVM, Intel AMT activa el requisito de no poder iniciar una sesión de KVM sin el consentimiento explícito del usuario, conocido como consentimiento del usuario de KVM. Para imponer el consentimiento del usuario para que participe voluntariamente en la sesión de redirección, aparecerá una ventana de salida segura ("sprite") en la pantalla del usuario, por encima de cualquier otra ventana, en la que se le solicita al usuario que lea al administrador de TI un número generado al azar. La sesión KVM empezará solo si el administrador de TI ingresa el número correcto de sesión. Una vez que se dé inicio a una sesión de KVM válida, toda la pantalla del usuario estará rodeada por un borde intermitente de colores rojo y amarillo, lo cual indica que un administrador de TI está realizando una sesión de KVM de reparación. Dicho borde intermitente de colores rojo y amarillo se mantendrá en la pantalla mientras la sesión se encuentre activa. Tenga en cuenta que el consentimiento del usuario de KVM es obligatorio cuando el sistema Intel AMT está en modo de control de cliente, pero es opcional cuando está activado el modo de control de administrador.
Según la configuración del OEM, las funciones de SOL/IDER o de KVM en Intel AMT estarán habilitadas o deshabilitadas en el BIOS o en Intel® Management Engine BIOS Extension (Intel® MEBX). El administrador de TI puede cambiar el requisito de participación voluntaria para KVM a través de la configuración del BIOS o de los ajustes de la configuración de Intel AMT. Intel recomienda utilizar la obligación del consentimiento del usuario para mantener su privacidad.
¿Cómo puede saber el usuario si un administrador ha accedido al sistema mediante Intel AMT?
El ícono de bandeja de sistema de IMSS permite y admite las notificaciones de usuario para diversos eventos, como cuando un administrador de TI está accediendo a su sistema, o lo ha hecho, mediante el inicio/cierre de una sesión de redireccionamiento remoto (es decir, SOL/IDER), así como cuando un administrador de TI activa el filtro System Defense y reinicia el sistema del usuario de forma remota. Además, un ícono intermitente se mostrará en el lado superior derecho de la pantalla durante una sesión activa de redireccionamiento remoto. Sin embargo, los eventos que actualmente están habilitados por el IMSS, en un entorno empresarial, están definidos por un administrador de TI, no por el usuario. Aunque Intel recomienda que las empresas que implementen los sistemas Intel AMT habiliten las notificaciones IMSS mencionadas en este párrafo, es posible que la información acerca de las conexiones remotas al sistema Intel AMT no esté necesariamente disponible para todos los usuarios.
¿Cómo un usuario puede borrar toda la configuración de Intel AMT y los datos privados?
Intel AMT ofrece opciones de BIOS para deshabilitar total o parcialmente un sistema Intel AMT. Intel recomienda a los usuarios finales desactivar completamente el aprovisionamiento de un sistema antes de revenderlo o reciclarlo, así como comprobar que Intel AMT esté completamente desactivado si adquiere un sistema usado que admita Intel AMT.
Actualizaciones de la declaración de privacidad
Es posible que actualicemos ocasionalmente esta declaración de privacidad. Cuando lo hagamos, vamos a corregir la fecha de la última actualización en la parte superior de la declaración de privacidad.
Para obtener más información, consulte
Si tiene alguna pregunta o desea obtener más información acerca de este complemento de privacidad, utilice este formulario para comunicarse con nosotros.